Uit welke delen bestaat de norm IEC 62443?
De IEC 62443-normenreeks is een uitgebreide set van standaarden die is ontworpen om de cybersecurity van Industrial Automation and Control Systems (IACS) te adresseren. De reeks is hiërarchisch opgebouwd en bestaat uit verschillende delen die zijn gegroepeerd in vier hoofdcategorieën:
General (Algemeen) – IEC 62443-1-x: Deze groep legt de basis en introduceert de fundamentele concepten, modellen en terminologie die in de gehele normenreeks worden gebruikt.
IEC 62443-1-1: Introduceert de concepten en modellen die in de serie worden gebruikt. Het geeft een overzicht van de hele IEC 62443-reeks.
IEC TS 62443-1-2: Master-woordenlijst van termen en afkortingen.
IEC TS 62443-1-3: Beschrijft methodologieën voor het kwantificeren van security metrics.
IEC TS 62443-1-4: Beschrijft use cases en levenscyclusdefinities voor IACS-security.
IEC TS 62443-1-5: Beschrijft de afstemming van de IEC 62443-serie op de ISO/IEC 27000-serie (normen voor informatiebeveiligingsbeheersystemen).
Policies & Procedures (Beleid & Procedures) – IEC 62443-2-x: Deze documenten richten zich op de eisen voor het opzetten en onderhouden van een effectief cybersecuritybeheersysteem (CSMS) voor eigenaren van bedrijfsmiddelen (asset owners) en degenen die IACS-systemen onderhouden.
IEC 62443-2-1: Stelt eisen aan het opzetten en onderhouden van een IACS cybersecuritymanagementsysteem (CSMS) voor asset owners. Dit is vergelijkbaar met een ISMS (Information Security Management System) maar dan toegespitst op OT.
IEC TS 62443-2-2: Richtlijnen voor het implementeren van een IACS cybersecuritymanagementsysteem.
IEC 62443-2-3: Richtlijnen voor patchmanagement in de IACS-omgeving.
IEC 62443-2-4: Eisen voor de securityprogramma’s van IACS-serviceproviders (bijv. integrators, onderhoudspersoneel).
IEC TR 62443-2-5: Richtlijnen voor de implementatie van een IACS cybersecurityprogramma voor asset owners.
System (Systeem) – IEC 62443-3-x: Deze groep specificeert de eisen op systeemniveau voor de veilige integratie van besturingssystemen. Dit is primair gericht op systeemintegratoren.
IEC 62443-3-1: Specificaties voor securitytechnologieën voor IACS.
IEC 62443-3-2: Richtlijnen voor risicobeoordeling voor systeemontwerp, het definiëren van zones en conduits.
IEC 62443-3-3: Systeembeveiligingseisen en security levels (SL’s). Deze norm beschrijft wat een systeem moet kunnen qua beveiliging op verschillende niveaus.
Component (Component) – IEC 62443-4-x: Deze documenten beschrijven de eisen voor de ontwikkeling van veilige producten en componenten die in IACS-systemen worden gebruikt. Dit is met name relevant voor leveranciers van hardware en software.
IEC 62443-4-1: Eisen voor een veilige productontwikkelingslevenscyclus (Secure Development Lifecycle – SDL) voor productleveranciers.
IEC 62443-4-2: Technische securityeisen voor IACS-componenten. Deze norm specificeert de beveiligingsfunctionaliteiten die componenten (zoals PLC’s, HMI’s, netwerkapparatuur) moeten hebben.
De structuur van de IEC 62443-normenreeks is ontworpen om een holistische benadering van IACS-cybersecurity te bieden, waarbij alle belanghebbenden – van productleveranciers en systeemintegratoren tot de eigenaren en beheerders van de systemen – worden betrokken. De verschillende delen zijn bedoeld om in samenhang te worden gebruikt om een robuuste beveiligingsstrategie te implementeren. De IEC 62443 normenreeks is een uitgebreide verzameling van documenten die zijn ontworpen om de cybersecurity van Industriële Automatisering en Controlesystemen (IACS) te adresseren. De reeks is hiërarchisch opgebouwd en verdeeld in vier hoofdcategorieën of “delen”.
Het is belangrijk op te merken dat:
Sommige documenten Technische Specificaties (TS) of Technische Rapporten (TR) zijn. Deze hebben een iets andere status dan volledige Internationale Normen (IS), maar bieden nog steeds waardevolle richtlijnen en informatie.
De normenreeks is dynamisch en wordt continu ontwikkeld en bijgewerkt. Nieuwe delen kunnen worden toegevoegd en bestaande delen kunnen worden herzien.
Door deze gelaagde structuur biedt IEC 62443 een uitgebreid en flexibel raamwerk dat door verschillende belanghebbenden in de industriële automatiseringsketen kan worden toegepast om de cyberweerbaarheid te verhogen.